X-Force

IBMがCOVID-19ワクチンのコールドチェーンを標的とするフィッシング攻撃キャンペーンについて公表

2020-12-09

カテゴリー X-Force | アナウンスメント | セキュリティー・インテリジェンス

記事をシェアする:

COVID-19パンデミックが始まった際、IBM Security X-Force®は、ワクチンのサプライチェーンを担う組織を標的としたCOVID-19関連のサイバー脅威を追跡することに特化した脅威インテリジェンス・タスクフォースを作成しました。この取り組みの一環として、IBMは、COVID-19のコールドチェーン(低温物流)に関連する組織をターゲットとしたグローバル規模のフィッシング攻撃キャンペーンについて公表しました。コールドチェーンは、ワクチンのサプライチェーンを構成しており、保管および輸送中に温度管理された環境で、ワクチンを安全に保存することを確実にしています。

IBMの分析によると、この活動は2020年9月に開始しました。COVID-19フィッシング・キャンペーンは6か国にまたがり、ワクチン・アライアンスであるGaviのコールドチェーン設備最適化プラットフォーム(Cold Chain Equipment Optimization Platform、CCEOP)プログラムに関連すると思われる企業を対象としています。これについては、本稿で詳しく説明します。この活動の確実な帰属を明らかにすることはできませんでしたが、エグゼクティブや主要グローバル組織を正確に標的としており、国家に対するスパイ活動のノウハウの潜在的特徴を見出すことができます。

本フィッシング攻撃キャンペーンに関するIBM Security X-Forceの分析は次のとおりです:

  • カバー・ストーリー - 攻撃者は、COVID-19ワクチン・サプライチェーンの信頼できる合法的なメンバー企業であり、CCEOPプログラムの資格のあるサプライヤーであるHaier Biomedical(ハイアール・バイオメディアカル)の経営幹部になりすましていました。Haier Biomedicalは、世界で唯一の完全なコールドチェーン・プロバイダーであるとされています。攻撃者は同社の従業員を装って、COVID-19コールドチェーン内の輸送ニーズを満たすために必要な物資の提供企業であると思われる組織にフィッシングメールを送信しました。このCOVID-19フィッシング・キャンペーンの目的は認証情報の収集であり、企業ネットワークやCOVID-19ワクチンの配布に関連する機密情報に将来的に不正アクセスすることであったと考えられます。
  • ターゲット - 欧州委員会の税制・関税同盟総局、およびエネルギー、製造、Webサイト作成、ソフトウェアおよびインターネット・セキュリティー・ソリューション分野の組織が標的とされていました。これらは、ドイツ、イタリア、韓国、チェコ共和国、ヨーロッパ、台湾に本社を置くグローバルな組織です。
  • 方法 - スピア・フィッシングの電子メールが、ワクチンのコールドチェーンをサポートする企業の取り組みに関与している可能性が高い、営業、調達、情報技術、財務の各ポジションの経営幹部に送信されました。また、ターゲットとなる組織のヘルプページとサポートページを含むように活動が組織全体に拡大した事例も特定しました。

IBM Security X-Forceは、責任ある開示手続きに従い、この標的型攻撃について適切なエンティティーおよび当局に通報しました。

 

COVID-19サプライチェーンへのアラート

IBM Security X-Forceは、COVID-19サプライチェーン(治療法の研究、医療提供からワクチンの配布まで)の企業に対し、緊張感を持ち、かつこの間も警戒を怠らないように求めています。米国政府はすでに、国外のエンティティーがワクチンに関する情報を盗むためにサイバー・スパイ活動を行おうとする可能性があると警告しています。本ブログに関連して、DHS CISA(米国国土安全保障省 サイバーセキュリティー・インフラストラクチャー・セキュリティー庁)は、ワクチンの保管と輸送に関連する組織に対して、この研究結果と、警戒を怠らないようにするベストプラクティスを再確認することを促すアラートを発令しています。

 

COVID-19コールドチェーンを危険にさらすよう計算されたなりすまし

IBM Security X-Forceは、CCEOPプログラムをサポートする複数の業界、政府、およびグローバル・パートナーにまたがるターゲットを明らかにしました。CCEOPは2015年、ワクチン・アライアンスであるGaviが、国連児童基金(UNICEF:ユニセフ)などのパートナーとともに発足しました。その目的は、最終的にはワクチンのサプライチェーンを強化し、予防接種の公平性を最適化し、感染症の発生に対する機敏な医療対応を確保することです。さまざまなクラスの医薬品、特にワクチンは、安全な保存を確実にするために、温度管理された環境での保管と輸送が必要です。

CCEOPのイニシアチブにより、COVID-19ワクチンの配布を促進する取り組みは加速しています。このグローバル・アライアンスのいずれかでデータ侵害が発生することで、世界中の多数のパートナーのコンピューティング環境を外部に露出させる可能性があります。

なりすましフィッシングメールは、世界保健機関(WHO)、UNICEF、その他の国連機関と協力して、現在CCEOPプログラムの適格サプライヤーとして活動している中国企業のHaier Biomedicalの経営幹部から発信されたように見せかけています。Haier Biomedicalは世界で唯一の完全なコールドチェーン・プロバイダーであるとされているため、攻撃者が戦略的にHaier Biomedicalになりすますことを選択した可能性が高いのです。同様に、これらの電子メールを送信しているとされるHaier Biomedicalの従業員は、電子メールの署名欄の自身の役割に基づいて、Haier Biomedicalのコールドチェーン配布業務に関連付けられた可能性があります。 COVID-19フィッシング・キャンペーンが成功したかどうかは、分かっていません。しかし、Haier Biomedicalが現在ワクチン輸送で果たしている確立された役割、そしてCOVID-19ワクチン配布で想定される役割によって、送信者の信憑性を疑うことなく、意図したターゲットが受信したメールに関与する可能性が高まります。

 

より幅広くアクセスするための資格情報の収集

フィッシングメールの件名は、CCEOPプログラムに関連する見積依頼(RFQ)とされています。電子メールにはローカルで開く悪意のあるHTMLの添付ファイルが含まれていて、受信者に、ファイルを表示するための資格情報の入力を促します。このようなフィッシングの手法は、攻撃者がセキュリティー研究チームや法執行機関によって発見および削除される可能性のあるフィッシングページをオンラインで設定することを回避するのに役立っています。 このキャンペーンの目的は、将来的に不正なアクセス権を得るために資格情報を収集することであった可能性があると考えられます。そこから、攻撃者は内部コミュニケーション、およびCOVID-19ワクチンを配布するプロセス、方法、計画についての洞察を得ることができます。これには、政府がワクチンを供給するベンダーにワクチンを配布するために使用する予定のインフラストラクチャーに関する情報が含まれます。ただし、COVID-19ワクチンに関連する重要な情報を超えて、攻撃者のアクセスは被害者の環境にまで及ぶ可能性があります。横方向にネットワークを移動し、そこにステルス状態を維持することで、サイバー・スパイ活動を実施し、将来の活動のために被害者の環境から追加の機密情報を収集することができます。

図1:COVID-19ワクチン・サプライチェーンに関連する組織の経営幹部に送信されたフィッシングメール

 

グローバル規模のターゲット

このキャンペーンのターゲットとなる組織の専門性とグローバルな分布を考慮すると、攻撃者はコールドチェーンの重要なコンポーネントや参加者をよく知っている可能性が高いと思われます。

  • 欧州委員会の税制・関税同盟総局 - 同総局は、EU全体の税関および税務に関する協力を促進する責任を負っています。複数の国の政府ネットワークとの直接的なつながりを維持し、貿易と規制に関連しています。このエンティティーをターゲットにするということは、欧州連合の27の加盟国やそれ以外の国の複数の高価値のターゲットに影響を与えることのできる単一の交錯点として機能する可能性があります。
  • エネルギー分野 スピア・フィッシングのターゲットには、ソーラーパネルの製造に携わる企業が含まれていました。信頼性の高い電力を供給できない国でワクチンを低温に保つ方法の1つは、ソーラーパネルを動力源とするワクチン冷蔵庫を使用することです。このような技術の侵害は、世界中の闇市場で知的財産の盗難やワクチン輸送コンテナの盗難や販売につながる可能性があります。ターゲットには、石油化学製品に関連する企業も含まれていました。コールドチェーンの重要な構成要素として、ドライアイスの使用がありますが、ドライアイスは石油生産の副産物です。
  • IT分野 - ターゲットの中には、韓国のソフトウェア開発企業とドイツのウェブサイト開発会社が含まれていました。後者は、製薬メーカー、コンテナ輸送、バイオテクノロジー、および海、陸、空のナビゲーションと通信を可能にする電気部品のメーカーに関連する複数のクライアントをサポートしています。

 

攻撃の背後にいる可能性が高いのは?

現在のところ帰属は不明ですが、特定のターゲット組織の正確なターゲティングと特性は、国家的な活動を潜在的に示しています。キャッシュアウトへの明確な道筋がなければ、サイバー犯罪者が、相互にリンクされ、グローバルに分布する非常に多くのターゲットを使用して、このような計算された活動を実行するために必要な時間とリソースを費やす可能性は低くなります。同様に、ワクチンの輸送に関する洞察は、闇市場でのホットな商品であることを示す可能性があります。しかし、生命と世界経済に影響を与える可能性のあるワクチンの購入と輸送に関する高度な洞察は、国家レベルでの高価値で優先度の高いターゲットとなる可能性があります。

2020年初め、IBM Security X-Forceは、グローバルなCOVID-19 PPEサプライチェーンのターゲット化を取り巻く活動を明らかにしました。同様に、ワクチンをめぐる世界的な競争が進む中、コールドチェーンは、全世界で国の収集要件リストのトップにある魅力的なターゲットとなる可能性が高いのです。

 

セキュリティー担当者への推奨事項

IBM Security X-Forceは、Enterprise Intelligence ManagementプラットフォームでCOVID-19サプライチェーン・コミュニティーをホストする準備ができており、脅威情報を共有し、最新の脅威インテリジェンスに関する対応措置を講じることができます。以下は、本ブログで紹介されているような動きの中で、組織がサイバー準備態勢を強化するための推奨事項です。

  • インシデント対応計画の作成とテスト - 攻撃が発生した場合に対応するための組織の準備と対応を強化します
  • 脅威インテリジェンスの共有と取り込み - 業界に影響を与える最新の脅威と攻撃戦術について常に注意を払うために、脅威共有のためのイニシアチブとパートナーシップが不可欠ですIBM Security X-Forceは、この脅威インテリジェンスをCOVID-19の脅威共有エンクレーブに投入しています。パンデミックが発生した際、IBMはこのエンクレーブに自由にアクセスできるようにし、サイバーの脅威にもっと目を向ける必要がある組織は誰でも利用できるようにしています
  • サードパーティーのエコシステムを評価し、サードパーティーのパートナーによってもたらされる潜在的なリスクを評価します。サードパーティーのパートナーが遵守する必要のある堅牢な監視、アクセス制御、およびセキュリティー基準があることを確認します
  • セキュリティー戦略にゼロトラスト・アプローチを適用 環境が拡大し続ける中で、特権アクセスの管理が最も重要になり、ユーザーが業務に不可欠なデータへのアクセスのみを確実に許可されるようにします
  • 組織全体で多要素認証(MFA)を使用 - 悪意のある攻撃者が資格情報にアクセスした場合、MFAはフェイルセーフとして機能します。最後の防衛線として、MFAはアカウントにアクセスするための第二の検証要件を提供しています
  • 電子メール・セキュリティーの定期的な教育トレーニングを実施して、従業員がフィッシング攻撃に常に注意を払い、電子メール・セキュリティーのベスト・プラクティスに精通するようにします
  • エンドポイント保護および対応ツールを使用して、組織全体に広がる脅威をより簡単に検出し、防止することができます

インシデント・レスポンスへの迅速な支援が必要な場合は、IBM Security X-Force の米国ホットライン 1-888-241-9812 | グローバル・ホットライン (+001) 312-212-8034 にご連絡ください。 X-Force の脅威インテリジェンスおよびインシデント・レスポンス・サービスの詳細については、こちらをご覧ください

 

 

IOCs(セキュリティー侵害インジケーター)

悪意のあるHTMLファイル:RFQ – UNICEF CCEOP and Vaccine Project – (#).htmlのコピー

SHA256 Hashes
d32b4793e4d99bb2f9d4961a52aee44bbdba223699075ed40f6a6081e9f1e6b4
ace86e8f5d031968d0c9319081a69fa66ce798e25ec6bbd23720ee570651aa04
7f53eca4a3e083ad28c8d02862bc84c00c3c73a9d8b7082b7995f150713d4c51
e3de643f3acebf1696a2b275f4ab1d0bacb5a8ba466ee8edbaaffaaa44cd2f10
a8c42db5ccddbde5b17ce3545189329a33acfdd4a8b9aff0c7e4294709b60af6
07dbe854a34e61349adcc97dd3e2eb5a9158e02568bae3e2aae3859aeeb5b8a9
7898d4596b6125129698866dbfa1a71d069aee3fd84ecb43343c3bf377a7abe2
7fc47e4fdce42b032b8ad0438cb5c76ed42a36d8c6a3e16d42dd0b69f49f33bd
83f8934fadccbaaa8119cd542382fbb9b97dfd196ef787b746ccaaf11f1d444e
6126052b0b200e04ce83a3fa470efee6ba82882674ebcc46c326b0a6c7fbfab4
75768be2e98b8010256f519a19a2a47d8983686389b2eeab300aca063b229be5
b98984a7bf669518b074ef1c8fc4240e4ad6f4a2ccc80a7940a0b56150809e37
33c44f32de3153d7705371c4a0c8d695a4e4eb22b4c4f2f3bda519631efb09af
a90056d8d0853f54dec3c8738fbcea6185f87aae6102cff2c0e1def49ccde977
68f4e8b58367ae1d0f8c392b43f459b1d942faf979953233a104cd74944b88f4
0ec6a1a0b353c672307220fe69ca4c3be6e516505e1f16b5bb8f3b55adaa0c0e
61e7f48f41414d3c945b7317023ca27e5d3f011b0a2e16354641748cc0f9df8e
0ac984f340a2903228b17e28c3a0f4507f5fc780bfe6505f196d2b92feccfab8
9143c2499a1cb2fb4e86ba6f9552f752358d8c8b635376aa619305431a3eec50
49468e2cbaab71a1035f45ef1d4a7cd791e2d5c2bbbfc9d29249d64f40be9aa4
8dc052382d626a2b1fb9181bdc276858386098e1919276c682a0a2b397dab80b
61bae857955c5cabf20119a918a0ebd83cbe9a34ebc6ee628144d225ab0867df
93643badb18f8dccba1eae3d0a44e8a91d4646cb4d1d4b61e234bf7edc58969c
c22ec0725f45221e477c9966a32b8faadd3e320c278043e57252903be89664cc
d5cd18bd27b7525d5e240d5dca555844ec721f8f4be224b91c047b827b7e5529
3e6b7d3055b50c2fd65231d1f757e3f0a6a1dbd803601d2e4223ace4d2bc1198
d32b4793e4d99bb2f9d4961a52aee44bbdba223699075ed40f6a6081e9f1e6b4
28511c50efe2fc02f7a437864e48f8c2983637507c2f8d8773e32ed9a420c895

 

C2 URL

hxxps://e-mailer.cf/next[.]php

hxxps://e-mailer.ga/next[.]php

hxxps://nwa-oma2.ml/next[.]php

hxxps://routermanager.ga/next[.]php

hxxps://routermanager.gq/next[.]php

hxxps://routermanager.ml/next[.]php

hxxps://routermanagers.cf/next[.]php

hxxps://routermanagers.ga/next[.]php

hxxps://routermanagers.gq/next[.]php

hxxps://routermanagers.ml/next[.]php

hxxps://serverrouter.cf/next[.]php

hxxps://serverrouter.ga/next[.]php

hxxps://serversrouter.cf/next[.]php

hxxps://serversrouter.gq/next[.]php

hxxps://nwa-oma.ml/next[.]php

 

送信者の電子メール・アドレス

yongbinxu@haierbiomedical[.]com

DNS SOA Addresses

rahim[@]protonmail[.]com

kilode[@]cock.li.

 

その他の関連URL

hxxps://mailerdeamon[.]cf

hxxps://mailerdeamon[.]ga

hxxps://mailerdeamon[.]gq

hxxps://mailerdeamon[.]ml

hxxps://mailerdeamon[.]tk

hxxps://routermanager[.]tk

hxxps://routermanagers[.]tk

hxxps://serverrouter[.]tk

 

 

 

 

 

【関連リンク】

 

 

【著者情報】

Claire ZaboevaClaire Zaboeva

Claire Zaboeva は、IBM Security X-Force の脅威インテリジェンス・プロダクション・チームのサイバー脅威アナリストです。連邦政府および商業部門で10年以上の分析経験があり、戦略的脅威および新興脅威を専門としています。Claire は、世界中の IBM X-Force の活動をサポートしています。

この記事は次の記事の抄訳です。
IBM Uncovers Global Phishing Campaign Targeting the COVID-19 Vaccine Cold Chain (英語)

 


前の記事

マルウェアEmotetへの感染を目的としたURL記載型メールの検知状況

次の記事

利用者が自ら実施できるフィッシング・スミッシング対策のご紹介
More stories

セキュリティー・インテリジェンス

2024-02-27

大規模言語モデル(LLM)の隠れたリスク:催眠術をかけられたAIの実状

この記事は英語版 Security Intelligenceブログ「Unmasking hypnotized AI: The hidden risks of large language models」(2023年8月8 […]

さらに読む

セキュリティー・インテリジェンス

2023-02-22

IBM Security Trusteer Rapport (ラポート)のダウンロードおよび購入を騙る不審サイトにご注意ください

架空の団体から贈与金を受け取れる等のフィッシング・メールが届き、メール本文に記載されたリンクをクリックすると不正サイトへ誘導され、金銭を安全に受け取るためと称して IBM Security Trusteer Rappor […]

さらに読む

セキュリティー・インテリジェンス

2022-03-17

ゼロトラスト・セキュリティーの実現に向けたSASE導入ポイント

  1. はじめに Tokyo2020に向けて一部の企業がリモートワークを推進してきましたが、2020年初頭からCOVID-19の流行によりテレワークのニーズが急速に高まったのは記憶に新しいと思います。 またそ […]

さらに読む